Welcome
Security (セキュリティー)
様々なセキュリティー機能を構成して、BigFix Inventory 使用時にデータ・モデルに含まれるビジネス資産とリソースを適切に保護します。
シングル・サインオン (SSO) の構成と有効化
9.2.1 以降で使用可能。2 要素認証と SSO を使用して BigFix Inventory にログオンし、企業内の他のアプリケーションとのログインの一貫性を維持することができます。2 要素認証と、Security Assertion Markup Language (SAML 2.0) トークンの交換に基づくシングル・サインオンを併用し、ID プロバイダーとして Microsoft™ Active Directory フェデレーション・サービスを使用するように BigFix Inventory を構成できます。あるいは、IBM Lightweight Third-Party Authentication (LTPA) テクノロジーを使用し、認証サービスとして IBM Security Access Manager for Web を使用することもできます。
オプション 1: Security Assertion Markup Language トークンに基づくシングル・サインオンの構成
Security Access Markup Language (SAML 2.0) トークンおよび外部 ID プロバイダー・サーバーに基づいて、シングル・サインオンを構成できます。

BigFix 資料ホーム・ページ
BigFix 10 Inventory 資料
概要
BigFix Inventory がどのように機能するかを理解するために必要な主要な概念に習熟し、アプリケーションのすべてのバージョンで導入される機能について学習してください。
インストール
ご使用の環境への BigFix Inventory のデプロイメントが円滑に行われるようにするための要件と使用可能なインストール・シナリオについて説明します。
構成
BigFix Inventory をインストールしたら、アプリケーションを構成します。アプリケーションへのアクセスを必要とするユーザーのアカウントを作成し、ご使用の環境からソフトウェアおよびハードウェアのインベントリ・データを収集するためにスキャンをセットアップします。
アップグレード
の新しいバージョンは、通常、カレンダーの各四半期の終わりにリリースされます。新しい機能とアプリケーションのフィックスを最大限に活用するため、新しいバージョンに定期的にアップグレードしてください。
インフラストラクチャーの管理
の初期構成が完了したら、そのインフラストラクチャーの次のコンポーネントを管理する方法を確認してください。VM マネージャー、サーバー、データベース、およびデータ・ソース。
ソフトウェア・インベントリーとライセンスの使用状況
BigFix Inventory のレポートが使用権を反映し、特定の製品によるライセンス・メトリックの使用状況を適切に表示できるように、検出されたソフトウェアを分類できます。
セキュリティー上の脅威の管理
を使用して、ご使用の環境でのセキュリティーの脅威を管理する方法について説明します。インストールされているコンポーネントのいずれかが、一般的な脆弱性と危険度 (CVE) の影響を受けやすいかどうかを確認できます。
チュートリアル
チュートリアルは、の使用方法を理解するのに役立ちます。これらは、幅広い目標に焦点を当てたモジュールで構成されています。モジュールは、特定の設定の構成方法をステップバイステップで示すタスクで構成されています。
Security (セキュリティー)
様々なセキュリティー機能を構成して、BigFix Inventory 使用時にデータ・モデルに含まれるビジネス資産とリソースを適切に保護します。
- データのフロー
  BigFix Inventory インフラストラクチャーのコンポーネント間、およびユーザーとツールの間では、いくつかの異なる相互作用が行われます。
- セキュリティー設定のシナリオ
  サポートされる各セキュリティー・シナリオを実現するために BigFix サーバーおよび BigFix Inventory サーバーで有効にする必要があるセキュリティー・オプションについて確認します。
- データベース接続暗号化の構成
  BigFix Inventory サーバーと BigFix Inventory データベースの接続を暗号化できます。暗号化は、JDBC ドライバーを使用して、BigFix Inventory サーバーとデータベース・エンジンの間に確立します。サーバーのアップグレード中に接続を暗号化できます。
- セキュア通信の構成
  セキュアな接続を確保するために、BigFix Inventory では、公開鍵暗号方式を使用します。この方式は、秘密鍵および公開鍵という 2 つの別々の鍵を使用するアルゴリズムを基盤としています。この鍵ペアは、通信の暗号化および暗号化解除に使用されます。
- 連邦暗号化標準への準拠
  暗号化に関する連邦情報処理標準要件に準拠するように、BigFix Inventory を構成できます。
- LDAP を使用したユーザーの認証
  BigFix Inventory は、Lightweight Directory Access Protocol (LDAP) サーバーを使用した認証をサポートします。この機能を使用するには、BigFix Inventory サーバーを構成する必要があります。
- シングル・サインオン (SSO) の構成と有効化
  9.2.1 以降で使用可能。2 要素認証と SSO を使用して BigFix Inventory にログオンし、企業内の他のアプリケーションとのログインの一貫性を維持することができます。2 要素認証と、Security Assertion Markup Language (SAML 2.0) トークンの交換に基づくシングル・サインオンを併用し、ID プロバイダーとして Microsoft™ Active Directory フェデレーション・サービスを使用するように BigFix Inventory を構成できます。あるいは、IBM Lightweight Third-Party Authentication (LTPA) テクノロジーを使用し、認証サービスとして IBM Security Access Manager for Web を使用することもできます。
  - オプション 1: Security Assertion Markup Language トークンに基づくシングル・サインオンの構成
    Security Access Markup Language (SAML 2.0) トークンおよび外部 ID プロバイダー・サーバーに基づいて、シングル・サインオンを構成できます。
    - ステップ 1:BigFix Inventory でのシングル・サインオン設定の構成
      最初のステップとして、BigFix Inventory でシングル・サインオン設定を構成します。
    - ステップ 2: シングル・サインオンのための ID プロバイダーの構成
      2 番目のステップとして、ID プロバイダーからの要求をコンシュームする依拠当事者として、BigFix Inventory サーバーを構成します。BigFix Inventory からダウンロードした spMetadata.xml ファイルに基づいて構成を実行します。
    - ステップ 3: SAML シングル・サインオンの有効化
      最後のステップとして、BigFix Inventory Web ユーザー・インターフェースでシングル・サインオンを有効にします。
    - SAML の無効 SSO 構成を戻す
      アプリケーションへのログインに問題がある場合は、シングル・サインオンが無効であるデフォルト SAML SSO 構成に戻すことができます。
  - オプション 2: LTPA に基づく SSO の構成
    IBM Lightweight Third-Party Authentication (LTPA) に基づくシングル・サインオンを ® IBM Security Access Manager for Web で構成できます。
  - シングル・サインオン・ユーザーの作成
    シングル・サインオンを使用して認証プロセスを完了するには、後で BigFix Inventory にログインできるユーザーを作成する必要があります。
  - BigFix Inventory サーバーからのログアウト
    BigFix Inventory ユーザー・インターフェースからログアウトするには、単にブラウザー履歴をクリアしてブラウザーを再始動します。
  - シングル・サインオン構成の無効化
    「シングル・サインオン設定」ペインで、SSO 構成を無効化できます。
  - シングル・サインオン構成の削除
    「シングル・サインオン設定」ペインで、SSO 構成を削除できます。
  - シングル・サインオンが有効になっている BigFix Inventory でのポートの変更
    シングル・サインオンが有効なときに BigFix Inventory の「サーバー設定」ペインでポート番号を変更すると、シングル・サインオン構成が無効になります。ポートを適切な方法で変更するには、シングル・サインオンの構成手順を繰り返す必要があります。
  - SSO 鍵ストアのパスワードおよび暗号化の構成
    SSO 鍵ストアの固有のパスワードを構成し、AES 暗号化アルゴリズムを使用してそのパスワードを暗号化します。
- パスワードおよび暗号化メカニズムの構成
  アプリケーション・セキュリティーを向上させるために、ユーザー・パスワードのセキュリティー・ポリシーを定義します。パスワードが保管されている鍵ストアと BigFix Inventory データベースのパスワードおよび暗号化メカニズムも構成できます。
- ユーザー・アカウントのロックアウトの構成
  9.2.8 以降で使用可能。デフォルトでは、ユーザーが 5 分以内に 10 回を超えて BigFix Inventory にログインしようとした後に、ユーザー・アカウントは 5 分間ロックされます。デフォルト設定を変更したり、ユーザー・アカウントのロックアウトを無効にしたりすることができます。
- 信頼できる VM マネージャー証明書を受け入れるためのVM Manager toolの構成
  デフォルトで、VM Manager toolは、信頼できるかどうかに関係なく、すべての VM マネージャー証明書を受け入れます。デフォルトの動作を変更して、信頼できる証明書のみをVM Manager toolが受け入れるようにすることができます。
- リレー
  リレーにより、サーバーのアップストリームとダウンストリームの両方の負荷が軽減されます。サーバーと直接通信する代わりに、指定のリレーと通信するようにクライアントに指示できます。これにより、サーバーの負荷が大幅に軽減され、クライアントとサーバーの間のネットワーク・トラフィックが大幅に削減されます。
トラブルシューティングおよびサポート
BigFix Inventory を使用する際に発生する可能性がある一般的な問題の解決方法と、それらの問題のトラブルシューティングに役立つログおよびトレース・ファイルの検索方法について説明します。
パフォーマンスのチューニング
BigFix Inventory のインフラストラクチャーを計画し、最適なパフォーマンスを実現するためにアプリケーション・サーバーを構成する方法について説明します。以下のガイドラインは、ビッグ・データ環境にも、低パフォーマンス・ハードウェア上で実行されている小規模な環境にも当てはまります。
REST API との統合
外部システム統合は、BigFix Inventory の主要な機能の一つです。統合のためのビジネス・ロジックが使用可能であり、共通の統合ポイント用のインターフェースが提供されています。
用語集
ガイド (PDF 形式)

オプション 1: Security Assertion Markup Language トークンに基づくシングル・サインオンの構成

Security Access Markup Language (SAML 2.0) トークンおよび外部 ID プロバイダー・サーバーに基づいて、シングル・サインオンを構成できます。

以下のエンティティーが、認証データの交換に関与します。

アプリケーション・ユーザー: 1 つのドメイン内で複数のアプリケーションを使用し、それらのアプリケーションに対してシングル・サインオンを行うことを望むユーザー。
サービス・プロバイダー: 認証サービスを要求するアプリケーション。この場合、BigFix Inventory です。
Identity Provider: アプリケーション・ユーザーを認証するサービス。BigFix Inventory は Active Directory フェデレーション・サービスのみをサポートします。

Web ユーザーが SAML ID プロバイダーに対して認証を行うと、SAML ID プロバイダーは SAML アサーションを作成します。SAML アサーションは、XML 形式のトークンであり、シングル・サインオン要求の一環として、ユーザーの ID プロバイダーから信頼できるサービス・プロバイダーに、ユーザーの ID および属性に関する情報を転送するために使用されます。サービス・プロバイダーは、その SAML アサーションを使用して、Web ユーザーのセキュリティー・コンテキストを確立します。

以下の図では、SAML トークンの交換に基づく一般的なシングル・サインオンで行われるステップを示します。
Security Access Markup Language トークンの交換

Security Access Markup Language トークンの交換

手順

次のシナリオは、BigFix Inventory が Active Directory フェデレーション・サービスと連携するように構成する標準的なワークフローを示します。ただし、インフラストラクチャー内でシングル・サインオンを有効にするには、別のソフトウェア・プロダクトを使用した方がよい場合があります。